Kaspersky’nin yeni bulgularına göre, arka kapının arkasındaki Rusça konuşan tehdit aktörü Tomiris, öncelikle Orta Asya’da istihbarat toplamaya odaklanıyor.
Güvenlik araştırmacıları Pierre Delcher ve Ivan Kwiatkowski, “Tomiris’in oyun sonu sürekli olarak dahili belgelerin düzenli olarak çalınması gibi görünüyor.” söz konusu bugün yayınlanan bir analizde. “Tehdit aktörü, BDT’deki hükümeti ve diplomatik kuruluşları hedef alıyor.”
Rus siber güvenlik firmasının son değerlendirmesi, bilgisayar korsanlığı ekibi tarafından 2021 ile 2023 yılları arasında düzenlenen üç yeni saldırı kampanyasına dayanıyor.
Tomiris ilk olarak Eylül 2021’de Kaspersky’nin SolarWinds tedarik zinciri saldırısının arkasındaki Rus ulus devlet grubu olan Nobelium (APT29, Cosy Bear veya Midnight Blizzard) ile potansiyel bağlantılarını vurguladığında ortaya çıktı.
Arka kapı ile Turla grubuna (aka Krypton, Secret Blizzard, Venomous Bear veya Uroburos) atfedilen Kazuar adlı başka bir kötü amaçlı yazılım türü arasında da benzerlikler ortaya çıkarıldı.
Grup tarafından düzenlenen hedef odaklı kimlik avı saldırıları, farklı programlama dillerinde kodlanan ve aynı hedeflere karşı tekrar tekrar konuşlandırılan çeşitli düşük gelişmişlikteki “yazıcı” implantlardan oluşan bir “çok dilli araç setinden” yararlandı.
Grup tarafından kullanılan özel kötü amaçlı yazılım cephaneliği, açık kaynak veya ticari olarak temin edilebilen saldırı araçlarını kullanmanın yanı sıra üç kategoriden birine giriyor: indiriciler, arka kapılar ve bilgi çalanlar –
- telemiris – Komuta ve kontrol (C2) kanalı olarak Telegram’ı kullanan bir Python arka kapısı.
- salak – İlgilenilen dosyaları her 40-80 dakikada bir ele geçirmek ve uzak bir sunucuya sızdırmak için tasarlanmış Pascal tabanlı bir dosya hırsızı.
- JLORAT – Sistem bilgilerini toplayan, C2 sunucusu tarafından verilen komutları çalıştıran, dosya yükleyen ve indiren ve ekran görüntüleri yakalayan, Rust’ta yazılmış bir dosya hırsızı.
Kaspersky’nin saldırılara ilişkin araştırması, Google’a ait Mandiant tarafından UNC4210 adı altında izlenen bir Turla kümesiyle örtüşmeler tespit etti ve QUIETCANARY (namı diğer TunnusSched) implantının BDT’de Telemiris aracılığıyla bir hükümet hedefine konuşlandırıldığını ortaya çıkardı.
Araştırmacılar, “Daha doğrusu, 13 Eylül 2022’de 05:40 UTC civarında, bir operatör bilinen birkaç Tomiris implantını Telemiris aracılığıyla yerleştirmeye çalıştı: önce bir Python Meterpreter yükleyici, ardından JLORAT ve Roopy.”
Sıfır Güven + Aldatma: Saldırganları Zekanızla Nasıl Alt Edeceğinizi Öğrenin!
Deception’ın gelişmiş tehditleri nasıl algılayabildiğini, yanal hareketi nasıl durdurabildiğini ve Sıfır Güven stratejinizi nasıl geliştirebildiğini keşfedin. Bilgilendirici web seminerimize katılın!
“Bu çabalar, güvenlik ürünleri tarafından engellendi ve bu da saldırganın dosya sistemindeki çeşitli konumlardan tekrar tekrar girişimlerde bulunmasına neden oldu. Tüm bu girişimler başarısızlıkla sonuçlandı. Bir saatlik duraklamanın ardından operatör, bu saat 07:19 UTC’de tekrar denedi. TunnusSched/QUIETCANARY örneği kullanılarak zaman aşımına uğradı. TunnusSched örneği de engellendi.”
Bununla birlikte, iki grup arasındaki potansiyel bağlara rağmen, Tomiris’in hedef alma ve ticaret yöntemlerindeki farklılıklar nedeniyle Turla’dan ayrı olduğu söyleniyor ve bu da bir sahte bayrak operasyonu olasılığını bir kez daha artırıyor.
Öte yandan, Rus askeri istihbarat teşkilatlarının Moskova merkezli NTC adlı bir BT yüklenicisi tarafından sağlanan araçları kullanması örneğinde olduğu gibi, Turla ve Tomiris’in belirli operasyonlarda işbirliği yapmaları veya her iki aktörün de ortak bir yazılım sağlayıcısına güvenmeleri de oldukça olasıdır. Vulkan.
Araştırmacılar, “Genel olarak, Tomiris çok çevik ve kararlı, deneylere açık bir oyuncu” dedi ve “Tomiris ile Turla arasında bir tür kasıtlı işbirliği var” dedi.